Od 25 maja 2018 r. każda organizacja będzie w obowiązku dostosować się do zapisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (rozporządzenie ogólne), w tym również każda publiczna kościelna osoba prawna. Przedmiotowe rozporządzenie unijne w swoich zapisach kładzie nacisk na fakt, że ochrona danych osobowych osób fizycznych jest jednym z podstawowych praw, a mianowicie każda osoba fizyczna ma prawo do ochrony danych osobowych jej dotyczących. Bez wątpienia w każdej parafii dane osobowe są przetwarzane.

O jakich danych mowa?

Należy zaznaczyć, że w Kościele katolickim dochodzi do procesu przetwarzania zarówno danych osobowych tzw. zwykłych, jak i szczególnych (dawniej – wrażliwych). Do katalogu danych osobowych szczególnych należą m.in. przekonania religijne, informacje co do orientacji seksualnej czy stanu zdrowia. Katalog danych osobowych szczególnych jest katalogiem zamkniętym, aczkolwiek trzeba przyznać, że dane o charakterze wysoce osobistym także powinny być traktowane z uwzględnieniem ich szczególności. Naruszenie w stosunku do takiego rodzaju danych osobowych może mieć wpływ na codzienne życie osób, których przetwarzanie dotyczy. Proszę zauważyć, że księża bardzo często stają się mimowolnymi odbiorcami szerokiego zakresu danych szczególnych (np. pozyskiwanie danych osobowych podczas kolędowania). W związku z przetwarzaniem tak szerokiego zakresu danych osobowych (oceniając z punktu widzenia wrażliwości) administrator tych danych powinien odpowiednio je zabezpieczyć, tzn. wdrożyć odpowiednie środki techniczne i organizacyjne, do których odwołuje nas rozporządzenie ogólne. Co to właściwie oznacza?

Posiadam dane osobowe, jak je uporządkować?

Niektórzy twierdzą, że wejście w życie rozporządzenia ogólnego będzie oznaczało wprowadzenie niezliczonej ilości dodatkowych procedur, które skomplikują dotychczasowe sposoby przetwarzania danych osobowych. Trudno jednak zgodzić się z takim stwierdzeniem. Rozporządzenie ogólnie ma zmotywować administratorów danych do usystematyzowania dotychczasowego przepływu danych osobowych, czy to wewnątrz organizacji, czy na zewnątrz. Podmioty publiczne, takie jak szkoły, urzędy gmin i miast, jednostki pomocy społecznej, od dłuższego czasu wprowadzały systematycznie mechanizmy bezpieczeństwa przetwarzanych danych osobowych oraz informacji w ogóle. W zakresie wprowadzania odpowiednich polityk ochrony danych w instytucjach kościelnych należy korzystać z ich doświadczenia, uwzględniając w szczególności Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydany przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r.

W zakresie przetwarzania danych osobowych mamy do czynienia z czterema obszarami przetwarzania danych osobowych. Pierwszy obszar jest ściśle związany z odpowiednimi politykami ochrony danych, czyli formalnie przyjętymi zasadami ochrony danych, np. w postaci regulaminu ochrony danych czy zwyczajnie polityki bezpieczeństwa. Drugi obszar to tzw. fizyczna/środowiskowa ochrona danych osobowych, czyli pomieszczenia, gdzie organizacja przetwarza dane osobowe, również pomieszczenia archiwalne, w ślad za tym stosowne zabezpieczenia, takie jak alarm, drzwi zamykane na klucz do pomieszczeń, w których przetwarzane są np. księgi parafialne, niszczarka do dokumentacji błędnie wydrukowanej niepodlegającej archiwizacji. Trzeci obszar każe popatrzeć nam na ochronę danych osobowych z perspektywy środowiska informatycznego, np. przetwarzanie danych z wykorzystaniem urządzeń mobilnych (laptopy, zewnętrzne pamięci danych), kopie zapasowe, bezpieczeństwo w sieci i prawa z nim związane. Z kolei czwarty obszar odnosi nas do zasobów ludzkich, czyli osób świeckich przetwarzających dane osobowe w organizacjach kościelnych, np. pracownik biurowy w kancelarii parafialnej.

Zacznijmy od pierwszego obszaru, czyli sfery dokumentacyjnej. Dobrze jest rozpocząć budowanie odpowiedniej polityki bezpieczeństwa od zadania sobie czterech podstawowych pytań: co ja przetwarzam (rejestr czynności przetwarzania); gdzie ja przetwarzam (ewidencja obszarów przetwarzania, np. kancelaria parafialna, pokój proboszcza przyjmującego osobę fizyczną, inne pomieszczenia biurowe czy archiwizacyjne); kto przetwarza u mnie zbiory danych (osoby świeckie – przetwarzanie na podstawie upoważnienia do przetwarzania danych osobowych, klauzule poufności, czyli zobowiązanie do zachowania powziętych danych/informacji w tajemnicy bądź powierzenia danych osobowych); jak przetwarzam (czy przetwarzam z użyciem systemu informatycznego, czy tylko i wyłącznie w wersji papierowej, jak zabezpieczam dane osobowe). Proszę zauważyć, że w samym sposobie przetwarzania danych osobowych, podstawach legalności takiego przetwarzania rozporządzenie ogólne niewiele zmienia. Ten sposób przetwarzania czy podstawy legalności przetwarzania trzeba będzie po prostu opisać i przyjąć jako obowiązujące w organizacji zasady, a także stosować się do nich w praktyce.

Zagrożenia

Niemalże u każdego administratora przez lata kształtowały się tzw. negatywne praktyki w kontekście przetwarzania danych, stąd niejednokrotnie słyszymy o przypadkach skradzionych dokumentów tożsamości (bo ktoś ich stosownie nie zabezpieczył) czy wyrzuconych do kosza na śmieci tonach akt medycznych. Rozporządzenie ogólne ma zwracać uwagę na błędy w procesie przetwarzania danych, np. zamieszczanie w gablocie w kościele listy imion i nazwisk parafian, którzy nie uiścili opłaty w ramach składanych deklaracji – nie są to może dane szczególne, ale w konkretnym kontekście mogą na takie wskazywać, co z kolei niejednokrotnie może wiązać się z naruszeniem praw lub wolności parafian.

Niestety, rozporządzenie ogólne bardzo często jest negatywnie przedstawiane na rynku jako akt prawny, który ma skomplikować proces przetwarzania danych i przysłowiowo „odwrócić organizację do góry nogami”. Bardzo często proboszczowie dostają telefony od firm trudniących się sprzedażą procedur ochrony danych, które straszą wielomilionową pieniężną karą administracyjną, do nakładania której uprawniony będzie przyszły Prezes Urzędu Ochrony Danych Osobowych. Faktycznie, rozporządzenie ogólne wskazuje literalnie wysokość administracyjnej kary pieniężnej, aczkolwiek ma ona zastosowanie w stosunku do administratorów danych sektora prywatnego oraz publicznego (sfera państwa), natomiast kościoły, związki wyznaniowe lub wspólnoty wyznaniowe podlegają nadzorowi niezależnego organu nadzorczego (Kościelny Inspektor Ochrony Danych), a co za tym idzie, w kontekście ewentualnych kar zastosowanie będą miały zapisy Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanego przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r.

Poza tym należy zauważyć, że dla księdza ochrona danych osobowych nie będzie niczym „odkrywczym”, biorąc pod uwagę chociażby ciężar tajemnicy spowiedzi. Rozporządzenie ogólne nie ma uczyć księdza, że powinien zachować w poufności powzięte dane osobowe – to jest dla księdza oczywiste. Rozporządzenie ogólne ma usystematyzować przetwarzanie danych, jeszcze bardziej uszczelnić i zharmonizować ten proces, ujednolicić procedury, które każdy z administratorów danych będzie stosował i przede wszystkim będzie rozumiał potrzebę ich zastosowania. Na koniec uzasadnione jest, by jeszcze raz podkreślić, że w kontekście przetwarzania danych osobowych przez publiczne kościelne osoby prawne kluczowe znaczenie ma Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydany przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r. Dekret stanowi niezbędną instrukcję dla kościelnych osób prawnych, wskazującą zakres i granice zastosowania rozporządzenia ogólnego w kontekście przetwarzania danych osobowych osób fizycznych.

Sylwia Kochman, audytor wiodący systemu zarządzania bezpieczeństwem informacji. Wykładowca i konsultant cyklicznych szkoleń organizowanych przez Stowarzyszenie Księgowych w Polsce – dla oddziałów terenowych. Ekspert w zakresie przetwarzania danych w sektorze publicznym i niepublicznym. I

***

PRZETWARZANIE DANYCH OSOBOWYCH W KOŚCIELE

Dekret ogólny Konferencji Episkopatu Polski regulujący sposób przetwarzania danych osobowych w Kościele katolickim w Polsce został zatwierdzony przez Stolicę Apostolską. Powstają procedury, które będą obowiązywać we wszystkich parafiach. 2 maja br. ks. dr hab. Piotr Kroczek – kanonista z Uniwersytetu Papieskiego Jana Pawła II – został wybrany przez Radę Stałą KEP na pełniącego obowiązki kościelnego inspektora danych osobowych. 25 maja br. wchodzą w życie nowe przepisy unijne dotyczące ochrony danych osobowych. Jak powiedział KAI bp Artur Miziński, sekretarz generalny KEP, zadaniem inspektora będzie czuwanie nad tym, by dane osobowe przetwarzane przez Kościół były właściwie wykorzystywane, z zachowaniem wszelkich przepisów, które znajdują się w rozporządzeniu RODO. Kościelny inspektor będzie także organem odwoławczym w drodze administracyjnej, gdyby dane były naruszone, lub w sytuacji, gdyby ktoś uważał, że zostały one naruszone.